【正文】 g Flood 攻擊、 Land 攻擊、 WinNuke 攻擊等。 （ 2）非授權(quán)訪(fǎng)問(wèn)嘗試：是攻擊者對(duì)被保護(hù)文件進(jìn)行讀、寫(xiě)或執(zhí)行的嘗試，也包括為獲得被保護(hù)訪(fǎng)問(wèn)權(quán)限所做的嘗試。 （ 3）預(yù)探測(cè)攻擊：在連續(xù)的非授權(quán)訪(fǎng)問(wèn)嘗試過(guò)程中，攻擊者為了 獲得網(wǎng)絡(luò)內(nèi)部的信息及網(wǎng)絡(luò)周?chē)男畔?，通常使用這種攻擊嘗試，典型示例包括 SATAN 掃描、端口掃描和 IP 半途掃描等。 （ 4）可疑活動(dòng)：是通常定義的“標(biāo)準(zhǔn)”網(wǎng)絡(luò)通信范疇之外的活動(dòng)，也可以指網(wǎng)絡(luò)上不希望有的活動(dòng)，如 IP Unknown Protocol 和 Duplicate IP Address 事件等。 （ 5）協(xié)議解碼：協(xié)議解碼可用于以上任何一種非期望的方法中，網(wǎng)絡(luò)或安全管理員需要進(jìn)行解碼工作，并獲得 相應(yīng)的結(jié)果 ，解碼后的 協(xié)議信息可 能表明期望 的活動(dòng)，如 FTU User 和Portmapper Proxy 等解碼方式。 （ 6）系統(tǒng)代理攻擊：這種攻擊通常是針對(duì)單個(gè)主機(jī)發(fā)起的，而并非整個(gè)網(wǎng)絡(luò)，通過(guò) RealSecure系統(tǒng)代理可以對(duì)它們進(jìn)行監(jiān)視。 發(fā)現(xiàn)訓(xùn)練集中的攻擊類(lèi)型 我們發(fā)現(xiàn)訓(xùn)練集中共有 22 種攻擊方式： back dos， buffer_overflow u2r， ftp_write r2l， guess_passwd r2l， imap r2l， ipsweep probe， land dos， loadmodule u2r， multihop r2l， neptune dos， nmap probe， perl u2r， phf r2l， pod dos， portsweep probe， rootkit u2r， satan probe， smurf dos， spy r2l， teardrop dos，warezclient r2l， warezmaster r2l。 land dos 基于登陸的拒絕服務(wù)攻擊。 Land 攻擊是一種拒絕服務(wù)攻擊。其攻擊特征是：用于 Land 攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的，因?yàn)楫?dāng)操作系統(tǒng)接收到這類(lèi)數(shù)據(jù)包時(shí)，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從 而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。檢測(cè)技術(shù)這種攻擊的方法是判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同。預(yù)防這種攻擊的方法是：適當(dāng)配置防火墻設(shè)備或過(guò)濾路由器的過(guò)濾規(guī)則就可以防止這種攻擊行為（一般是丟棄該數(shù)據(jù)包），并對(duì)這種攻擊進(jìn)行審計(jì)（記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的 MAC 地址和 IP 地址）。 teardrop dos 淚滴攻擊。 Teardrop 攻擊也是一種拒絕服務(wù)攻擊。其攻擊特征是： Teardrop 是基于UDP 的病態(tài)分片數(shù)據(jù)包的攻擊方法，其工作原理是向被攻擊者發(fā)送多個(gè)分片的 IP 包（ IP 分片數(shù)據(jù)包中包括該分片數(shù) 據(jù)包屬于哪個(gè)數(shù)據(jù)包以及在數(shù)據(jù)包中的位置等信息），某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時(shí)將會(huì)出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。檢測(cè)技術(shù)這種攻擊的方法是對(duì)接收到的分片數(shù)據(jù)包進(jìn)行分析，計(jì)算數(shù)據(jù)包的片偏移量（ Offset）是否有誤。 預(yù)防這種攻擊的方法是：添加系統(tǒng)補(bǔ)丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對(duì)這種攻擊進(jìn)行審計(jì)。 smurf dos 是一種簡(jiǎn)單但有效的拒絕服務(wù)攻擊技術(shù)，它利用了 ICMP（ Inter 控制信息協(xié)議）。ICMP 在 Inter 上用于錯(cuò)誤處理和傳遞控制信息。它的功能之一是與主機(jī)聯(lián)系，通過(guò) 發(fā)送一個(gè)“回音請(qǐng)求”（ echo request）信息包看看主機(jī)是否“活著”。最普通的 ping 程序就使用了這個(gè)功能。 Smurf 是用一個(gè)偷來(lái)的帳號(hào)安裝到一個(gè)計(jì)算機(jī)上的，然后用一個(gè)偽造的源地址連續(xù) ping 一個(gè)或多個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，這就導(dǎo)致所有計(jì)算機(jī)所響應(yīng)的那個(gè)計(jì)算機(jī)并不是實(shí)際發(fā)送這個(gè)信息包的那個(gè)計(jì)算機(jī)。這個(gè)偽造的源地址，實(shí)際上就是攻擊的目標(biāo)，它將被極大數(shù)量的響應(yīng)信息量所淹沒(méi)。對(duì)這個(gè)偽造信息包做出響應(yīng)的計(jì)算機(jī)網(wǎng)絡(luò)就成為攻擊的不知情的同謀。預(yù)防這種攻擊的方法是：為了防止黑客利用你的網(wǎng)絡(luò)攻擊他人，關(guān)閉外部路由器或防火墻的 廣播地址特性。為防止被攻擊，在防火墻上設(shè)置規(guī)則，丟棄掉 ICMP 包。 buffer_overflow u2r 緩 沖 區(qū)溢 出 攻擊 由 于在 很 多的 服 務(wù)程 序 中大 意 的程 序 員使 用 象strcpy(),strcat()類(lèi)似的不進(jìn)行有效位檢查的函數(shù)，最終可能導(dǎo)致惡意用戶(hù)編寫(xiě)一小段利用程序來(lái)進(jìn)一步打開(kāi)安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當(dāng)發(fā)生緩沖區(qū)溢出時(shí)，返回指針指向惡意代碼，這樣系統(tǒng)的控制權(quán)就會(huì)被奪取。預(yù)防這種攻擊的方法是：利用 SafeLib、 tripwire 這樣的程序保護(hù)系統(tǒng)，或者瀏覽最新的安全公告不斷更新操作 系統(tǒng)。 portsweep probe 端口掃描探測(cè)器攻擊。通常使用一些軟件，向大范圍的主機(jī)連接一系列的 TCP 端口，掃描軟件報(bào)告它成功的建立了連接的主機(jī)所開(kāi)的端口。預(yù)防這種攻擊的方法：許多防火墻能檢測(cè)技 術(shù)到是否被掃描，并自動(dòng)阻斷掃描企圖。 ipsweep probe IP 地址掃描探測(cè)器攻擊。運(yùn)用 ping 這樣的程序探測(cè)目標(biāo)地址，對(duì)此做出響應(yīng)的表示其存在。預(yù)防這種攻擊的方法：在防火墻上過(guò)濾掉 ICMP 應(yīng)答消息。 nmap probe 端口掃描探測(cè)器。 Nmap 是在 UNIX 環(huán)境下推薦的端口掃描儀。 Nmap 不止是端口掃描儀，也是安全工具箱中必不可少的工具。預(yù)防這種攻擊的方法：許多防火墻能檢測(cè)技術(shù)到是否被掃描，并自動(dòng)阻斷掃描企圖。 其他主流的攻擊類(lèi)型 由于研究的數(shù)據(jù)集有限。研究時(shí)間的局限，我們所看到的攻擊類(lèi)型還是很有限的，還有幾種主流的攻擊類(lèi)型，可以幫助我們即時(shí)預(yù)防，以增強(qiáng)入侵檢測(cè)技術(shù)系統(tǒng)的性能。 （ 1） Ping of Death 根據(jù) TCP/IP 的規(guī)范，一個(gè)包的長(zhǎng)度最大為 65536 字節(jié)。盡管一個(gè)包的長(zhǎng)度不能超過(guò) 65536 字節(jié)，但是一個(gè)包分成的多個(gè)片段的疊加卻能做到。當(dāng)一個(gè)主機(jī)收 到了長(zhǎng)度大于 65536 字節(jié)的包時(shí)，就是受到了 Ping of Death 攻擊，該攻擊會(huì)造成主機(jī)的宕機(jī)。由于在早期的階段，路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)對(duì) TCP/IP 棧的實(shí)現(xiàn)在 ICMP 包上都是規(guī)定 64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱(chēng)自己的尺寸超過(guò) ICMP 上限的包也就是加載的尺寸超過(guò) 64K 上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致 TCP/IP堆棧崩潰，致使接受方當(dāng)機(jī)。 預(yù)防這種攻擊的方法：現(xiàn)在所有的標(biāo)準(zhǔn) TCP/IP 實(shí)現(xiàn)都已實(shí)現(xiàn)對(duì)付超大尺 寸的包，并且大多數(shù)防火墻能夠自動(dòng)過(guò)濾這些攻擊，包括：從 windows98 之后 windows,NT(service pack 3 之后 )， linux、 Solaris、和 Mac OS 都具有抵抗一般 ping ofdeath 攻擊的能力。此外，對(duì)防火墻進(jìn)行配置，阻斷 ICMP 以及任何未知協(xié)議，都講防止此類(lèi)攻擊。 （ 2） SYN flood 該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送 SYN 包，而在收到目的主機(jī)的 SYN ACK 后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊(duì)列，而且由于沒(méi)有收到 ACK 一直維護(hù)著這些隊(duì)列，造成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù)。一些 TCP/IP 棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來(lái)的 ACK 消息，因?yàn)樗麄冎挥杏邢薜膬?nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿(mǎn)了虛假連接的初始信息，該服務(wù)器就會(huì)對(duì)接下來(lái)的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時(shí)。在一些創(chuàng)建連接不受限制的實(shí)現(xiàn)里， SYN 洪水具有類(lèi)似的影響。預(yù)防這種攻擊的方法：在防火墻上過(guò)濾來(lái)自同一主機(jī)的后續(xù)連接。 未來(lái)的 SYN 洪水令人擔(dān)憂(yōu)，由于釋放洪水的并不尋求響應(yīng)， 所以無(wú)法從一個(gè)簡(jiǎn)單高容量的傳輸中鑒別出來(lái)。 （ 3） UDP 洪水（ UDP flood） 概覽：各種各樣的假冒攻擊利用簡(jiǎn)單的 TCP/IP 服務(wù)，如 Chargen 和 Echo 來(lái)傳送毫無(wú)用處的占滿(mǎn)帶寬的數(shù)據(jù)。通過(guò)偽造與某一主機(jī)的 Chargen 服務(wù)之間的一次的 UDP 連接，回復(fù)地址指向開(kāi)著Echo 服務(wù)的一臺(tái)主機(jī)，這樣就生成在兩臺(tái)主機(jī)之間的足夠多的無(wú)用數(shù)據(jù)流，如果足夠多的數(shù)據(jù)流就會(huì)導(dǎo)致帶寬的服務(wù)攻擊。 預(yù)防這種攻擊的方法：關(guān)掉不必要的 TCP/IP 服務(wù)，或者對(duì)防火墻進(jìn)行配置阻斷來(lái)自 Inter 的請(qǐng)求這些服務(wù)的 UDP 請(qǐng)求。 （ 4） CPU Hog 一種通過(guò)耗盡系統(tǒng)資源使運(yùn)行 NT 的計(jì)算機(jī)癱瘓的拒絕服務(wù)攻擊，利用 Windows NT 排定當(dāng)前運(yùn)行程序的方式所進(jìn)行的攻擊。 （ 5） Win Nuke 是以拒絕目的主機(jī)服務(wù)為目標(biāo)的網(wǎng)絡(luò)層次的攻擊。攻擊者向受害主機(jī)的端口 139，即 bios 發(fā)送大量的數(shù)據(jù)。因?yàn)檫@些數(shù)據(jù)并不是目的主機(jī)所需要的，所以會(huì)導(dǎo)致目的主機(jī)的死機(jī)。 （ 6） RPC Locator 攻擊者通過(guò) tel 連接到受害者機(jī)器的端口 135 上，發(fā)送數(shù)據(jù)，導(dǎo)致 CPU 資源完全耗盡。依照程序設(shè)置和是否有其他程序運(yùn)行，這種攻擊可以使受害計(jì)算機(jī)運(yùn)行緩慢或者停止響應(yīng)。無(wú)論哪種情況，要使計(jì) 算機(jī)恢復(fù)正常運(yùn)行速度必須重新啟動(dòng)。 結(jié)論 本論文可以分為兩個(gè)部分，第一部分從入侵檢測(cè)技術(shù)的提出入手，描述了入侵檢測(cè)技術(shù)的研究史，然后詳細(xì)描述了檢測(cè)技術(shù)原理，列舉了功能概要，具體介紹了入侵檢測(cè)技術(shù)技術(shù)分析過(guò)程，最后指出入侵檢測(cè)技術(shù)發(fā)展方向。這一部分集中介紹入侵檢測(cè)技術(shù)，是我們對(duì)各種相關(guān)中外參考資料的學(xué)習(xí)總結(jié)。 第二部分是本課題的研究重點(diǎn)，分析了ＫＤＤ 99 的測(cè)試數(shù)據(jù) ,介紹了各種攻擊類(lèi)型，最后一章在撰寫(xiě)這一章前，我們認(rèn)真學(xué)習(xí)了模式識(shí)別這門(mén)課程，根據(jù)課題 要求對(duì)各種模式分類(lèi)算法進(jìn)行了有側(cè)重點(diǎn)的學(xué)習(xí)，迭代最優(yōu)化算法是以付出一定時(shí)間代價(jià)為前提，降低了 Kmeans 算法的空間代價(jià)，使得迭代最優(yōu)化算法可以局部時(shí)間效率最優(yōu)，但是對(duì)于全局的時(shí)效優(yōu)化并非就是一種最優(yōu)解。但是鑒于各種具體場(chǎng)合，兩種算法在許多領(lǐng)域都有著廣泛的應(yīng)用。 在做畢業(yè)設(shè)計(jì)的過(guò)程中，在老師的指導(dǎo)下，同學(xué)之間共同學(xué)習(xí)，克服了一個(gè)個(gè)困難，這段時(shí)間的學(xué)習(xí)使我對(duì)入侵檢測(cè)技術(shù)和模式識(shí)別等課程產(chǎn)生了濃厚的興趣。在以后的日子里，我將對(duì)入侵檢測(cè)技術(shù)和模式識(shí)別算法繼續(xù)進(jìn)行更深入的學(xué)習(xí)，尋求更加優(yōu)化的算法，并嘗試去設(shè)計(jì)出某種 入侵檢測(cè)技術(shù)系統(tǒng)的模型，不斷地提高自己的專(zhuān)業(yè)水平。 致謝 論文撰寫(xiě)結(jié)束了，在此期間我遇到了許多困難，同樣得到了老師和同學(xué)們的熱心幫助，使我得以按時(shí)完成我的任務(wù)，沒(méi)有辜負(fù)大家的一片苦心。 感謝三年來(lái)院系領(lǐng)導(dǎo)和廣大老師們對(duì)我們的諄諄教誨！ 參考文獻(xiàn) [1] 蔣建春，馮登國(guó) .網(wǎng)絡(luò)入侵檢測(cè)技術(shù)原理與技術(shù) .北京：國(guó)防工業(yè)出版社， [2] 戴連英，連一峰，王航 .系統(tǒng)安全與入侵檢測(cè)技術(shù) .北京：清華大學(xué)出 [3] 沈清，湯霖 .模式識(shí)別導(dǎo)論 .國(guó)防科技大學(xué)出版社， [4] 吳焱等譯，入侵者檢測(cè)技術(shù) .北京 :電子工業(yè)出版社 ,1999 [5] [美 ]Richard ,Peter ,David 李宏?yáng)| 姚天翔等 譯 模式分類(lèi)（原書(shū)第 2 版） 機(jī)械工業(yè)出版社 ， 20210901 [6] Arbaugh W A， Fithen W L， McHugh J． Windows of vulnerability： A case study analysis［ J］． IEEEComput． 2021， 33（ 12） [7] Bace RG． Intrusion Detection［ M］． Technology Series． Macmillan， London， 2021． [8] Denning DE， Edwards DL， Jagannathan R， et al． A prototype IDES： A realtimeintrusion detection expert system［ C］． Technical report， Computer ScienceLaboratory［ D］． SRIInternational， Menlo Park，1987． [9] Todd Heberlein L， Gihan Dias V， KarlLevittN． et al． A Network security monitor［ M］． 1991．